搜档网
当前位置:搜档网 › Pfsense功能

Pfsense功能

Pfsense功能

功能列表:

1..防火墙

2.状态表

3.网络地址转换

4.冗余

5.负载均衡

6.虚拟专用网(VPN)

7.报告和监测

8.实时信息

9.动态DNS

10.强制网络门户

11.DHCP服务器和中继

pfSense包括所有最昂贵的商业防火墙的功能,而且在许多情况下更多。下面是一个功能目前在pfSense 1.2版本的列表。所有这些事情都是可能在网络界面完成,而不必在命令行。

防火墙

?过滤源和目标IP,IP协议,源和目的TCP和UDP通信端口

?能够限制在每个规则的基础上的并发连接

?pfSense利用p0f,一个先进的操作系统/网络指纹识别工具让您过滤操作系统发起连接。要允许FreeBSD和Linux计算机上互联网,但阻止Windows系统?pfSense可以通过检测达到这样的目的。

?可以选择记录或则不记录每个匹配规则的日志。

?在每个规则的基础上通过gateway选择达到高度自由的路由策略,负载平衡,故障转移,多广域网等(网关可能)

?别名允许分组和命名的IP地址,网络和端口。这有助于保持你的防火墙规则简单易懂,特别是在有环境比较复杂的情况下,有很多IPs和大量的服务器。

?第2层透明防火墙功能

?包正常化- 擦重新组合的分段的数据包,保护某种形式的攻击操作系统,并丢弃TCP 数据包具有无效标志的组合。“

o在pfSense默认情况下启用

o如有必要,可以禁用。此选项会导致一些NFS的实现问题,但应该是安全的,

留在大多数安装启用。

?禁用过滤器- 您可以关闭防火墙过滤器,如果你想完全变成一个纯粹的路由器pfSense。

状态表

防火墙的状态表上保持打开的网络连接的信息。pfSense是一状态防火墙默认情况下所有的规则是有状态的。

大多数防火墙没有能力控制自己的状态。pfSense已经让你的状态表精确控制众多的功能。

?可调整的状态表的大小

?在每个规则基础上:

o同时客户端连接限制

o限制每台主机的状态

o每秒限制新的连接

o定义状态超时

o状态类型定义

?状态类型- pfSense提供了多种选择状态处理。

o保守状态- 可以适用与所有协议。默认对所有规则有用。

o调制状态- 与TCP协议配合工作。

o Synproxy状态- 代理传入的TCP连接,以帮助防止伪造的TCP的SYN洪水

服务器。

o无状态

?状态表的优化选项- pf提供了四个状态表的优化选项。

o正常- 默认算法

o高延迟- 对高延迟的链接比较有用,如卫星连接,实用。

o攻击- 释放过期链接。更有效地利用硬件资源,但是会关闭可以合法的连接。

o保守-避免关闭合法的链接,但会增加系统的内存消耗和cpu的使用。

网络地址转换(NAT)

?端口转发,使用多个公网IP

?1:1的NAT的单独IP或整个子网。

?出站的NAT

o默认设置NA T的所有出站流量的广域网IP地址。在多种广域网方案中,默

认设置NA T的对外到广域网接口的IP被使用。

o高级的NA T可以使这些默认的设置失效,也可以实现非常灵活的NA T(或没

有NAT)的规则建立。

?NAT的反射- 在某些配置中,NA T的反射是可行的,服务可以从内部网络的公共IP 访问。

NAT的限制

?PPTP和GRE的限制

?SIP的限制

冗余

OpenBSD的CARP允许硬件故障转移。两个或多个防火墙可以被配置为故障转移群。如果一个接口出现故障,则另外的一个变得活跃。pfSense还包括配置同步功能,这样你主配置的

变化,会自动同步到辅助防火墙。

pfsync保证了防火墙的状态表被复制到所有故障转移配置的防火墙。这意味着现有的连接不会因为某一接口出现故障而丢失。

限制

?只能作用于静态公网IP,不工作与DHCP,PPPoE的,PPTP或广域网的BigPond类型(将在以后的版本中解决)

?需要有最少3个公共IP地址(最低将得到解决在将来的版本)

?备份防火墙是空闲(主动被动故障转移),可能是在这个时候没有主动的集群。

?故障转移是不是即时的,它需要大约5秒钟切换一个备份主机。在这个时间段没有数据包将获得通过,但存在的准柜台将保持连接故障转移后完成。这5s的丢失在大部分的网络中没有影响。

负载平衡

出站负载平衡

出站负载平衡是用于多种广域网连接,以提供负载平衡和故障转移能力。在防火墙规则的基础上,请求将定向到请求的网关或负载均衡池。

入站负载平衡

入站负载平衡用于多个服务器之间分配负载。最常用的Web服务器,邮件服务器等。服务器未响应ping请求或TCP端口连接将从池中移除。

限制

?在可用的服务器中同等的负载,此时不能够在可用的服务器中进行不同等的负载。

?仅仅检查服务器对Ping和Tcp 端口的链接的响应,不检查服务器返回的不合法的内容。

虚拟专用网

pfSense的VPN连接提供了三个选项,IPsec的,OpenVPN的,和PPTP的。

IPsec的

允许连接的IPsec与任何支持标准的IPSec设备。这是最常用的站点到站点连接用于其他pfSense装置,其他开源防火墙(m0n0wall等),以及几乎所有商业防火墙解决方案(思科,Juniper等)。它也可以用于移动客户端连接。

限制

?NAT - T的不支持,这意味着移动客户端的NA T后面不支持。这限制了pfSense在移动的IPsec客户端上的有用性。OpenVPN的或PPTP是一个更好的解决方案。

?只有一个IPsec隧道端是动态的IP地址。

?一些较先进的功能IPSec的工具尚未支持,包括DPD,xauth,NAT - T等。OpenVPN的

OpenVPN是一个灵活,功能强大的SSL VPN解决方案支持的用户端作业系统的广泛范围。见OpenVPN的网站就其能力的细节。

限制

?并非所有的OpenVPN的功能都支持。支持几乎OpenVPN的所有功能将在下一版本中。

?OpenVPN的流量过滤尚为实现。将在2.0中实现。

PPTP服务器

PPTP是一种常用的VPN的选择,因为几乎每一个操作系统已经在PPTP客户端,包括每一个自Windows 95 OSR2的Windows版本兴建。见这个维基百科文章更多有关PPTP协议的信息。

在pfSense PPTP服务器可以使用本地用户数据库,或RADIUS服务器进行身份验证。RADIUS 记帐也支持。在PPTP客户端的界面就可以控制防火墙规则。

限制

?由于在pf的NAT,PPTP服务器的限制时启用,PPTP客户端不能使用相同的出站PPTP 连接的公用IP。这意味着如果你只有一个公网IP,并使用PPTP服务器,你的网络将无法工作PPTP客户端。这项工作大约是使用你的内部客户与高级出站第二次公网IP的NA T。另见的NA T在此网页上的PPTP限制。

PPPoE服务器

pfSense提供了一个PPPoE服务器。欲了解更多有关PPPoE协议信息,请参阅本维基百科条目。本地用户数据库,可用于身份验证,并与RADIUS身份验证是可选的也支持。

报告和监测

RRD的图

在pfSense的RRD的图形保持以下的历史信息。

?CPU使用率

?总吞吐量

?防火墙状态

?个人所有接口的吞吐量

?每秒所有接口的数据包率

?广域网接口网关(第)屏响应时间

?使用流量大小队列

实时信息

历史资料是重要的,但有时它更重要的是看到实时信息。

SVG的图形,可显示每个接口的实时处理能力。

对于流量成型的用户,状态- >屏幕提供了一个队列的队列使用实时显示使用AJAX更新。

在头版包括显示仪表的AJAX实时的CPU,内存,交换和磁盘使用情况,以及状态表的大小。

动态DNS

动态DNS客户端是包含允许您注册一个动态DNS服务提供者的公网IP。

?DynDNS

?DHS

?DyNS

?easyDNS

?No-IP

?https://www.sodocs.net/doc/553143429.html,

?ZoneEdit

客户端也可为rfc的2136动态DNS更新的支持如BIND的更新,这意味着DNS服务器使用。

限制

?仅适用于初级广域网接口- 多广域网的支持提供2.0。

?只能更新一个帐户提供者之一。2.0可以实现无限的帐户使用。

?仅当pfSense有公网IP分配给它的接口之一。如果你有一台调制解调器,可以获取您的公共IP并给出pfSense一个专用IP,在2.0中,有一个选项,以确定您的实际公网IP,并正确注册它。

强制网络门户

强制网络门户允许您强制认证,或通过网络访问页面重定向到一个点击。这是常用的热点网络,而且也广泛地在企业网络中使用一个额外的安全层对无线或互联网接入。下面是一个功能在pfSense的强制网络门户。

?最大并发连接- 连接数限制在每个客户端的门户网站本身的IP。此功能可以防止客户端发送未经认证或通过反复的初始页面点击电脑网络通信的服务拒绝。

?空闲超时--断开连接超时的客户。

?硬超时- 在达到定义的时间后强制断开所有客户连接。

?登录弹出窗口- 选项,弹出一个登录窗口和注销按钮。

?网址重定向-- 经过认证用户可以重定向到其要访问的地址。

?MAC过滤- 默认情况下,pfSense过滤器可使用MAC地址。如果你有一个背后强制网络门户上的一个接口启用路由器子网,每一个路由器后面的机器将被授权用户被授权后,1。MAC过滤可以禁用这些情景。

o身份验证选项- 有三种身份验证选项。

没有验证- 这意味着用户只需通过点击门户网站页面,不输入凭据。

o本地用户管理器- 本地用户数据库,可配置和身份验证。

o RADIUS认证- 这是企业环境和互联网服务供应商首选的身份验证方法。它

可以用来验证从Microsoft Active Directory和许多其他的RADIUS服务器。

?RADIUS的能力

o强制重新认证

o能够发送更新

o RADIUS的身份验证允许强制网络门户来验证一个RADIUS服务器使用客户

端的MAC的用户名和密码的地址。

o允许配置冗余的RADIUS服务器。

?HTTP或HTTPS的- 该网站页面可以被配置为使用HTTP或HTTPS。

?传递的MAC和IP地址- MAC和IP地址可以是白色的上市绕过门户。与NA T端口转发任何机器将需要绕过这样的答复并没有击中交通门户。您可能希望排除其他原因的一些机器。

?文件管理器- 这可以让你上传你的门户页面使用图像。

局限

?只能在一个界面同时运行。

?“反向”门户网站,即捕捉交通源自互联网和进入您的网络,是不可能的。

?只有整个IP和MAC地址可以被排除在门户网站,而不是个人的协议和端口。

?目前不兼容多种广域网的规则。我们希望这将在2.0中得到解决。

DHCP服务器和中继

pfSense既包括DHCP服务器和中继功能

相关主题